La part du citoyen

Données personnelles, vie privée & RGPD

Transferts de données et adéquation (Schrems, Irlande)

Le corpus aborde la question des transferts de données personnelles hors d'Europe — en particulier vers les États-Unis — et celle de l'« adéquation » du droit américain, à travers quatre auditions convergentes sur un constat central : le cadre juridique existe mais n'est pas appliqué.

Le maillon faible irlandais. Plusieurs intervenants désignent nommément l'Irlande comme point de rupture de l'architecture RGPD. Selon Bastien Le Querrec (La Quadrature du Net, des associations sur le thème de la protection des données personnelle), l'autorité irlandaise de protection des données, la DPC, « apparaît notoirement incapable de faire face aux Big Tech », lesquelles s'y installent pour raisons fiscales. Max Schrems (NOYB, M. Max Schrems) élargit l'accusation : l'Irlande et le Luxembourg « créent des failles de plus en plus nombreuses dans le droit européen — pas seulement en matière de droit du numérique, mais aussi en matière de fiscalité et de droits sociaux ». Il documente ce dysfonctionnement par deux exemples concrets : un chiffre-choc (« un média public irlandais a estimé que seulement 0,3 % des montants dus ont réellement été payés »), qui relativise le récit des « amendes record », et un cas de pantouflage — l'ancienne directrice de la DPC « a récemment annoncé son embauche par le cabinet d'avocat qui défend Meta ».

La fragilité de l'adéquation américaine. Schrems (M. Max Schrems) juge le Data Privacy Framework instable : il repose sur des garanties extralégislatives héritées de l'ère Obama et sur un désaccord de fond sur la « proportionnalité » — « les deux parties se sont accordées sur l'usage d'un terme, mais pas sur son sens ». La table ronde de la Ligue des droits de l'homme (des associations sur le thème de la protection des données personnelle) ajoute un argument politique : Pierrick Clément souligne que « trois membres démocrates » de l'organe censé garantir l'indépendance de la protection des données (le Data Protection Review Court) « ont été poussés à la démission par Donald Trump », ce qui remet en cause l'adéquation. Maryse Artiguelong rappelle par ailleurs qu'un responsable auditionné, M. Vilbœuf, a « reconnu l'existence d'un risque d'accès par une autorité étrangère aux données » du Health Data Hub. Clément cite enfin l'arrêt Latombe de 2025, relatif à l'autorisation de transférer des données vers les États-Unis.

Une divergence de diagnostic. Le clivage principal porte sur le remède. Pour Schrems et Martin Untersinger (Le Monde, M. Martin Untersinger), la solution n'est pas législative mais d'application : « la solution n'est pas […] d'adopter de nouveaux textes mais d'appliquer ceux qui existent et de donner aux régulateurs les moyens de s'attaquer à ce marché ». Schrems propose en outre de transférer la régulation des très grandes plateformes (VLOPs) au niveau européen pour contourner le refus national d'appliquer la loi. À l'inverse, Thierry Breton (M. Thierry Breton) estime que le rôle permissif de l'Irlande « s'efface avec l'harmonisation normative » et la coordination des régulateurs par un board, « hormis pour le RGPD » — une lecture plus optimiste de la convergence institutionnelle en cours.

Qui en parle

Interventions regroupées (11 citations · 4 auditions)

Domaine : Données personnelles, vie privée & RGPD · Sujet : transferts-adequation

Couverture : 11 citations · 4 positions · 4 auditions

_Slugs bruts fusionnés : transfert-donnees-usa-adequation, transferts-donnees-etranger, data-privacy-framework, schrems-adequation-transferts, guichet-unique-irlande, irlande-pays-origine, irlande-optimisation, rgpd-eprivacy-consentement_

Positions exprimées

  • M. Max Schrems (M. Max Schrems) : L'Irlande et le Luxembourg sabotent l'application du droit européen au nom de l'attractivité économique ; il faut transférer la régulation des très grandes plateformes (VLOPs) au niveau européen pour échapper à ce refus national d'appliquer la loi. _(tranchant 5)_
  • M. Max Schrems (M. Max Schrems) : Le Data Privacy Framework est fragile : il repose sur des garanties extralégislatives copiées sur l'ère Obama, un désaccord de fond sur la « proportionnalité », et pourrait s'effondrer avec la décision de la Cour suprême sur l'indépendance de la FTC. _(tranchant 4)_
  • (table ronde) (des associations sur le thème de la protection des données personnelle) : Les États-Unis n'offrent plus de garanties « adéquates » compte tenu de la dérive autoritaire de l'administration Trump ; l'arrêt Latombe et le fonctionnement du Data Protection Review Court doivent être réexaminés par la Commission et la CJUE. _(tranchant 2)_
  • M. Thierry Breton (M. Thierry Breton) : Le rôle permissif de l'Irlande s'efface avec l'harmonisation normative et la coordination des régulateurs par un board ; il n'y a plus d'intérêt à choisir un pays membre plutôt qu'un autre, hormis pour le RGPD. _(tranchant 2)_

Citations (verbatim, sourcées)

« j'ai pris connaissance de l'audition de M. Vilbœuf devant votre commission, au cours de laquelle il a reconnu l'existence d'un risque d'accès par une autorité étrangère aux données contenues dans cette plateforme. »

Maryse Artiguelong — Ligue des droits de l'homme (audite, audition de des associations sur le thème de la protection des données personnelle, 2026-03-25)

_Renvoi à un aveu obtenu devant la commission elle-même : le risque d'accès extraterritorial aux données du Health Data Hub est reconnu par un responsable auditionné._

« Or trois membres démocrates de cet organe ont été poussés à la démission par Donald Trump. »

Pierrick Clément — Ligue des droits de l'homme (audite, audition de des associations sur le thème de la protection des données personnelle, 2026-03-25)

_Argument factuel contre l'adéquation américaine : l'organe censé garantir l'indépendance de la protection des données est politiquement fragilisé par Trump._

« La décision rendue en 2025 dans l'arrêt Latombe, relative à l'autorisation de transférer des données vers les États-Unis, en offre une illustration. »

Pierrick Clément — Ligue des droits de l'homme (audite, audition de des associations sur le thème de la protection des données personnelle, 2026-03-25)

_Moment singulier : l'avocat cite l'arrêt qui porte le nom du président de séance, lequel est le plaignant — la commission touche à un contentieux dont son président est partie._

« Le premier tient à sa non-application par certains États membres, en particulier l'Irlande, puisque l'autorité irlandaise de protection des données, la DPC, apparaît notoirement incapable de faire face aux Big Tech . »

Bastien Le Querrec — La Quadrature du Net (audite, audition de des associations sur le thème de la protection des données personnelle, 2026-03-25)

_Désigne nommément le maillon faible de l'architecture RGPD : l'autorité irlandaise, choisie par les Big Tech pour raisons fiscales._

« Le marché repose sur une illégalité manifeste. Dès lors, la solution n’est pas – je suis désolé de le dire dans cette enceinte – d’adopter de nouveaux textes mais d’appliquer ceux qui existent et de donner aux régulateurs les moyens de s’attaquer à ce marché, qui est très clairement hors de contrôle. »

Martin Untersinger — Le Monde (audite, audition de M. Martin Untersinger, 2026-03-26)

_Message politique frontal à des législateurs : le problème n’est pas l’absence de loi mais son non-respect._

« cet élément était réclamé par tous les géants du numérique ; toutes leurs contributions publiques le mentionnaient. Je vous laisse en tirer les conclusions sur l’impact que cela pourrait avoir sur nos libertés publiques. »

Martin Untersinger — Le Monde (audite, audition de M. Martin Untersinger, 2026-03-26)

_Signale un alignement d’intérêt entre la réforme omnibus et les géants, invitant les députés à la vigilance._

« toutes les applications sont concernées par la collecte de données publicitaires »

Martin Untersinger — Le Monde (audite, audition de M. Martin Untersinger, 2026-03-26)

_Généralise le problème : la collecte publicitaire est universelle, même l’application du Monde en a été victime._

« Ainsi, les deux parties se sont accordées sur l’usage d’un terme, mais pas sur son sens. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Résume en une phrase la fragilité du Data Privacy Framework : un accord de façade sur la « proportionnalité » masquant un désaccord de fond, ce qui fragilise juridiquement tout transfert de données transatlantique._

« Or deux États membres, l’Irlande et le Luxembourg, créent des failles de plus en plus nombreuses dans le droit européen – pas seulement en matière de droit du numérique, mais aussi en matière de fiscalité et de droits sociaux. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Désigne nommément les deux États dont le dumping réglementaire sabote l'application du droit européen — enjeu direct pour la souveraineté effective de l'UE._

« un média public irlandais a estimé que seulement 0,3 % des montants dus ont réellement été payés »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Chiffre-choc qui démonte le récit des « amendes record » : le RGPD n'est pas appliqué faute de recouvrement, pas faute de sanctions annoncées._

« l’ancienne directrice de la Commission de la protection des données irlandaise, la DPC ( Data Protection Commission ) a récemment annoncé son embauche par le cabinet d’avocat qui défend Meta. »

M. Max Schrems — NOYB (None of your business) (audite, audition de M. Max Schrems, 2026-03-26)

_Exemple de capture réglementaire (pantouflage) qui illustre l'inféodation du régulateur irlandais aux entreprises qu'il est censé sanctionner._